Cảnh báo Remcos: Chiến dịch phishing Excel khéo léo đang phát tán fileless malware nguy hiểm

Người dùng Excel cần cảnh giác vì một chiến dịch lừa đảo mới được phát hiện đang nhắm vào ứng dụng bảng tính của Microsoft.

Chiến dịch này phát tán phiên bản fileless malware mới của Trojan truy cập từ xa nguy hiểm và được phát tán thông qua lỗ hổng của Microsoft 365 (trước đây là Microsoft Office) - và hiện đang bị khai thác tích cực.

Tin tặc đang nhắm mục tiêu vào Excel để phát tán phần mềm độc hại nguy hiểm

Luôn ở tuyến đầu, Fortiguard Labs của Fortinent đã phát hiện ra chiến dịch lừa đảo nhắm vào người dùng Excel.

Cuộc tấn công sử dụng một mồi nhử lừa đảo qua email được ngụy trang thành đơn đặt hàng vận chuyển có đính kèm bảng tính Microsoft Excel độc hại. Sau khi tải xuống và mở bảng tính, nó sẽ khai thác lỗ hổng thực thi code từ xa (CVE-2017-0199) để tải xuống ứng dụng HTML.

Sau khi tải xuống, ứng dụng HTML sẽ thực thi và cố gắng tải xuống một file khác - phần mềm độc hại Remcos thực sự. Hiện tại, Remcos là một Trojan truy cập từ xa khá nổi tiếng có thể cung cấp cho kẻ tấn công một đường truyền trực tiếp vào máy tính bị nhiễm. Đây là một trong số nhiều loại phần mềm độc hại nguy hiểm có thể mua dưới dạng gói gọn gàng trên các diễn đàn tin tặc ngầm.

Tuy nhiên, lần này, nhà nghiên cứu Xiaopeng Zhang đã tìm thấy một biến thể Remcos RAT fileless hoạt động với bộ nhớ của hệ thống bị nhiễm, cho phép nó không bị các công cụ chống phần mềm độc hại phát hiện. Nó cũng thêm một registry hệ thống tự động chạy cụ thể để "duy trì sự tồn tại và quyền kiểm soát thiết bị của nạn nhân khi khởi động lại" - một ví dụ khác về phần mềm độc hại dai dẳng.

Kẻ điều hành Remcos RAT có thể sử dụng các keylogger và ghi màn hình để thu thập thông tin riêng tư, âm thanh và dữ liệu khác. Sau đó, dữ liệu bị đánh cắp được mã hóa và gửi lại cho kẻ điều hành, nơi dữ liệu có thể bị khai thác.

Hãy cập nhật Microsoft 365 và máy tính của bạn để luôn an toàn!

Thật không may, nghiên cứu không chỉ ra các phiên bản cụ thể của Microsoft Excel bị ảnh hưởng bởi lỗ hổng này. Mặc dù ghi chú CVE-2017-0199 chỉ ra các phiên bản Excel và Office cũ hơn trong "Cấu hình phần mềm bị ảnh hưởng đã biết", phần đó vẫn chưa được cập nhật kể từ khi phát hiện ra chiến dịch lừa đảo này.

Vì vậy, nếu nghi ngờ, hãy cập nhật Microsoft 365 và hệ điều hành của bạn. Nếu có thể, hãy nâng cấp lên phiên bản Microsoft 365 mới nhất để có mức bảo mật tối đa.